Cruz-sitio petición falsificación, también sabido como el ataque del tecleo del uno o el montar a caballo de la sesión del y abreviado como el CSRF (Mar-Resaca) o XSRF, es un tipo de la hazaña malévola de los Web site aunque este tipo de ataque tenga semejanzas al Cruz-sitio scripting (XSS), el scripting del cruz-sitio requiere a atacante inyectar código desautorizado en un Web site, mientras que la falsificación de la petición del cruz-sitio transmite simplemente comandos desautorizados de un usuario que el Web site confía en.
Ejemplo y características
El ataque trabaja incluyendo un acoplamiento o una escritura en una página que tenga acceso a un sitio a el cual conozcan al usuario para haber authenticado. Por ejemplo, un usuario, Bob, pudo hojear un foro de la charla donde otro usuario, Alicia, ha fijado un mensaje. Suponer que Alicia ha hecho un elemento de imagen a mano del HTML que se refiere a una escritura en el Web site del banco Bob (algo que un archivo de imagen), e., src=" del
Si el banco Bob mantiene su información de autentificación una galleta, y si no ha expirado la galleta, después de Bob tentativa de s del hojeador la 'de cargar la imagen presentará el impreso del retiro con su galleta, así autorizando una transacción sin la aprobación de Bob.
Una falsificación de la petición del cruz-sitio es un ataque confundido del diputado contra un web browser. El diputado en el ejemplo del banco es el web browser de Bob que es confuso en emplear mal la autoridad de Bob en la dirección de Alicia.
Las características siguientes son comunes a CSRF:
implica los sitios que confían en la identidad de un usuario
Explotar la confianza del sitio en esa identidad
Trampear el hojeador del usuario en el envío de peticiones del HTTP a un sitio de la blanco
Implicar las peticiones de HTTP que tienen efectos secundarios
A riesgo están las aplicaciones web que realizan las acciones basadas en entrada de confiado en y los usuarios authenticados sin requerir al usuario al autorizan la acción específica. Un usuario que es authenticado por una galleta ahorrada en su web browser podría enviar unknowingly una petición del HTTP a un sitio que lo confía en y de tal modo causa una acción indeseada.
Los ataques de CSRF usar imágenes se hacen a menudo de los foros del Internet, donde se permite a los usuarios fijar las imágenes pero no el Javascript .
Efectos
Este ataque confía en algunas asunciones: el atacante tiene conocimiento de sitios que la víctima tiene autentificación actual en (más común en foros de la tela, donde está el más común este ataque)
El " del atacante; site" de la blanco; tiene galletas persistentes de la autentificación, o la víctima tiene una galleta actual de la sesión
El " site" de la blanco; no tiene autentificación secundaria para las acciones
Mientras que teniendo potencial para el daño, el efecto es atenuado por el " de la necesidad del atacante; saber su audience" tales que él ataca a pequeña comunidad familiar de víctimas, o un " más común; site" de la blanco; ha ejecutado mal sistemas de autentificación (por ejemplo, si un revendedor común del libro ofrece compras “inmediatas” sin el re-authentication).
Prevención
Para el Web site, el cambiar de un método de autentificación persistente (una autentificación de HTTP e. de la galleta o ) a un método de autentificación transitorio (e. un campo ocultado proporcionado en cada forma) ayudará a prevenir estos ataques. Un acercamiento similar es incluir un símbolo secreto, user-specific en formas que se verifique además de la galleta.Una otra método está al " submit" doble; galletas. Este método trabaja solamente con las peticiones basadas de Ajax, pero puede ser aplicado como arreglo global sin la necesidad alterar una gran cantidad de formas. Si una galleta de la autentificación se lee usar Javascript antes de que se haga el poste, las reglas del cruz-dominio de un más terminantes (y más correctas) serán aplicadas. Si el servidor requiere peticiones de contener el valor de la galleta de la autentificación en el cuerpo del de las peticiones del POSTE o el URL de CONSIGUE peticiones, después la petición debe haber venido de un dominio confiado en, puesto que otros dominios no pueden leer las galletas del dominio que confía en. Por una parte, este método fuerza a usuarios a permitir el Javascript, negando la única manera que un usuario tiene que evitar que la mayoría del Cruz-sitio scripting vulnerabilidades de sea explotado.
Usar el POSTE en vez de CONSEGUIR no ofrece la protección, como el Javascript se puede utilizar para forjar peticiones del POSTE fácilmente.
La comprobación del jefe del referrer del HTTP para ver si la petición está viniendo de una página autorizada puede trabajar, pero puede causar las ediciones con el hojeador que omiten el jefe del referrer en ciertas ocasiones o ajuste., ajustes de la aislamiento de un usuario o porque el referrer es una página segura.)
Aunque las defensas de la falsificación de la petición del cruz-sitio requieran típicamente la modificación de la aplicación web, los usuarios individuales pueden ayudar a proteger sus cuentas en los sitios mal diseñados terminando una sesión el sitio antes de visitar otro.
| Random links: | Galveodon | Rugosa de Rosa | Shiv (arma) | Asyndeton | F'nor |